Subido por joseangel

dns secundario ubuntu server DMZ

Anuncio
Configuración UBUNTU
SERVER 18.04
Servidor Dnssec
Failover, Firewall 3
legs y DMZ
Grado superior
Administración
de Sistemas Informáticos
en Red
IES Rodrigo Caro (Coria
del Río, Sevilla)
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (CORIA DEL RÍO, SEVILLA)
Trabajo realizado por:
Luisa Molina y Mjosé
Fernández
FECHA: 20/12/2018
ÍNDICE
1. Mapa de red
2. Configuración Inicial
3. Dns Failover
4. Dns Secure
5. Firewall 3 legs
6. Zona Desmilitarizada (DMZ)
7. IPV6 y Servidor de archivos
8. Bibliografía
Grado
superior Administración
de Sistemas Informátic
os en Red
IES RODRIGO CARO
(CORIA DEL
RÍO, SEVILLA)
1. Mapa de
Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
2.1 Configuración de máquinas virtuales

2.
Configuración
Inicial
Router 1: Con salida a internet
 Dos tarjetas, una red interna y otra adaptador puente
 S.O Opensense

Router 2: Firewall de 3 patas:
 Tres tarjetas red internas
 S.O Opensense

Servidor DNS 1: Servidor Primario
 Una tarjeta red interna
 S.O Ubuntu Server 18.04

Servidor DNS 2: Servidor Secundario DNS y servidor archivos
 Una tarjeta red interna
 S.O Ubuntu Server 18.04

Clientes:
 Una tarjeta red interna.
 1. S.O Debian 9
 2. S.O Windows 10
Máquinas virtuales
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
2.1 Configuración de Red
2.
Configuración
Inicial
Configuración de Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
2.1 Configuración de Red
2.
Configuración
Inicial
Configuración de Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Acceso inicial a Internet Clientes y Servidores
2.
Configuración
Inicial
Configuración de Red
A través del navegador del cliente, accedemos al router 2
(el de tres patas) para permitir la red opt1 y opt2.
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
3. Configuración
Servidores DNS
en relación de
Failover
Zona directa, inversa y
servidor secundario.
Para explicar la configuración de DNS Primario y Secundario se ha
elaborado otro PowerPoint paso a paso.
Para consultarlo visite:
https://es.slideshare.net/luisamg31/dns-primario-y-secundario-en-ubuntuserver-1804
En resumen, se han creado los ficheros de zona directa e inversa en el
servidor primario, y se han transferido al secundario para que cuando el
primero falle, el segundo pueda ejercer de servidor DNS en su lugar.
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
3. Configuración Servidores DNS en relación de
Failover
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
SERVIDOR PRIMARIO (Maestro)
4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
4. Dns
Secure
SERVIDOR
PRIMARIO
(Maestro) - ZONA
DIRECTA
4. Dns
Secure
SERVIDOR
PRIMARIO
(Maestro) - ZONA
DIRECTA
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Para la zona inversa, realizamos los mismos pasos
anteriores pero sustituyendo mjlui.es. (zona directa) por
192.168.20.in-addr.arpa (zona inversa).
4. DnsSec
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
**Importante modificar el script y volver a ejecutarlo**
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Vemos que, después de ejecutar el script, se han incluido las
zonas firmadas dentro de los archivos de zona:
4. DnsSec
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Último paso:
4. DnsSec
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Servidor Secundario
1º Configuramos el archivo /etc/bind/named.conf.options para permitir el
dnssec (como hicimos en servidor primario)
4. DnsSec
SERVIDOR
SECUNDARIO
(Esclavo)
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Servidor Secundario
4. DnsSec
Comprobación
Dnssec
**Si quisiéramos registrar o tuviéramos registrado nuestro dominio (de
pago) deberíamos realizar uno pasos últimos para registrar
correctamente nuestro dnssec, documentados en el link nº de la
bibliografía.**
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Esta es la configuración del router secundario.
5. Firewall three
legs con DMZ
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Entramos en el router por el navegador de un cliente. Ambos
deberán estar en la misma red.
5. Firewall three
legs con DMZ
Subtitulos/subapartado
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Al entrar nos pide la configuración del router.
5. Firewall three
legs con DMZ
5. Firewall three
legs con DMZ
Modificamos las tarjetas de red.
5. Firewall three
legs con DMZ
5. Firewall three
legs con DMZ
Configuramos las reglas del Firewall y DMZ. En el
apartado Firewall → Rules → Floating
5. Firewall three
legs con DMZ
Con esta regla denegamos que los servidores accedan a la red de los clientes.
Con esta regla habilitamos que los clientes puedan acceder a los servidores por
el puerto 53 (DNS).
Ahora configuramos las reglas de los clientes. Nos vamos al
apartado Firewall → Rules → CLIENTES
Con esta regla, en la tarjeta cliente, lo permitimos todo.
5. Firewall three
legs con DMZ
Con esta regla, permitimos que la red LAN acceda a los clientes y viceversa.
De esta forma los clientes podrán tener internet.
Con esta regla, permitimos que puedan acceder a los clientes por el puerto 53
(DNS).
Con esta última regla, denegamos que los servidores puedan acceder a los
clientes.
Configuramos las reglas de los servidores o DMZ. Nos vamos
al apartado Firewall → Rules → DMZ
Con esta regla permitimos que los servidores accedan a la red LAN para que puedan
salir a internet.
5. Firewall three
legs con DMZ
Con esta regla permitimos que los clientes puedan acceder a los clientes.
Con esta regla permitimos que los servidores puedan acceder a los clientes a través
del DNS.
Con esta regla denegamos que los servidores puedan acceder a los clientes de
cualquier otra forma.
Por último configuramos las reglas de la red LAN. Nos vamos
al apartado Firewall → Rules → LAN
5. Firewall three
legs con DMZ
Estas tres reglas vienen en el router por defecto. La primera sirve para que no se
puedan bloquear las reglas de administración. Las dos últimas sirven para que
permitan cualquier regla tanto de IPV4 como de IPV6.
Con esta regla permitimos que los clientes puedan acceder a la red LAN y viceversa.
Con esta permitimos que los servidores puedan acceder a la red LAN y viceversa.
Con esta última regla bloqueamos que lo servidores puedan acceder a los clientes.
Ahora haremos algunas comprobaciones desde los clientes.
Aquí comprobamos que
el cliente tiene internet.
5.Firewall three
legs.
Comprobaciones
Y aquí comprobamos que
tenemos conexión con uno
de los servidores.
5.Firewall three
legs.
Comprobaciones
Desde los servidores también haremos algunas comprobaciones.
Aquí comprobamos que tenemos internet en los servidores.
Aquí comprobamos que los servidores no pueden conectarse con los
clientes.
Vamos a configurar Samba como servidor de archivos
para compartir carpetas.
1. Primero instalamos Samba.
6. Servidor de
archivos
2. Ahora solo debemos configura Samba.
a) Modificamos el fichero /etc/samba/smb.conf.
Servidor secundario
como servidor de datos
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
b) A continuación, creamos la carpeta compartida y le damos
permisos.
c) Vamos a crear un archivo de texto dentro de la carpeta compartida.
6. Servidor de
archivos
d) Finalmente, reiniciamos el servicio de Samba.
e) Ahora vamos a crear un usuario y lo agregamos a samba.
6. Servidor
de
archivos.
Comprobación
Vamos a realizar la comprobación desde un cliente Windows.
Vamos a configurar las IPV6 en los servidores y en el router de tres
patas o DMZ.
1. Primero configuramos las tarjetas de red de los servidores.
7.
Configuración
IPV6
2.
Configuramos el router de tres patas.
7.
Configuración
IPV6.
Comprobación
Realizamos ping entre las máquinas.
 Configuración Dns Primario y Secundario
8. Lista de
comandos
Lista de comandos utilizados
durante todo el proceso.







Apt-get install bind9
Named-checkconf
Named-checkzone
Sytemctl reload/start bind9
Ufw allow 53
Ln –s /run/systemd/resolve/resolv.conf /etc/resolv
Nslookup y ping
 Configuración Dns Secure
 Dnssec-keygen
 Dnssec-signzone
 Sytemctl reload/start bind9
 Configuración Servidor de archivos
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
 https://www.agesic.gub.uy/innovaportal/file/1065/1/DNSSEC_
parte1_CERTificate.pdf
 https://www.digitalocean.com/community/tutorials/how-tosetup-dnssec-on-an-authoritative-bind-dns-server--2
9. Bibliografía
 Links que nos ha
servido de guía para
realización de este
trabajo.
 https://es.slideshare.net/luisamg31/dns-primario-ysecundario-en-ubuntu-server-1804
 https://www.howtoforge.com/configuring-dnssec-on-bind99.7.3-on-debian-squeeze-ubuntu-11.10
 https://es.slideshare.net/FernandoParrondo/configuracindnssec-con-bind
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGO CARO (Coria del Río, Sevilla)
Descargar